Доброго дня!
Требуется создать доменного юзера, который, как бы правильно сказать, не имел никаких прав в домене совсем. То есть не мог логинится на компьютеры, авторизоваться в сети и т.п. и был полностью бесправным чтобы в случае чего не нанести никакого вреда сети. Нужно лишь чтобы его учетная запись была в AD для того чтобы ее оттуда мог взять openfire и все. Такое можно реализовать? Спасибо.

группа "Гости домена"

Гости домена, могут логинится на компьютеры, единственное их отличие от обычных пользователей - удаление профиля после выхода.
Чтобы юзер ничего не мог сделать нужно настраивать групповые политики - запрещать вход на рабочие станции и прочее.

Гости домена, могут логинится на компьютеры »
точно, поздабыла.
добавить в DDP на отказы и всё.

спасибо. ТО есть это надо создавать отдельную политику в домене специально под них? Муторно получается... (

sovransky5, если озвучишь зачем этот юзер нужен openfire, то возможно найдётся другое решение в виде Управляемые служебные учетные записи (Managed Service Accounts, MSA) (https://blogs.technet.microsoft.com/ru_forum_support/2010/11/25/753/)

paranoya,
OF стоит в локальной сети как местная аська jabber для своих и для сидящих через VPN. Юзеры в нем берутся из AD, соответственно локального уже не добавишь. Мне нужно добавить в него пару человек из другой орг-ции - партнера.

sovransky5,
Можно "Гостями домена" обойтись и без групповых политик, достаточно в свойствах учётной записи этого юзера ограничить список рабочих станций на которые он может входит, поставив имя несуществующей рабочей станции. И если в самом домене нигде в расшаренных папках или других службах не указана группа гостей в безопасности, то и сделать эта учётная запись ничего не сможет.

paranoya, спасибо большое, как то не подумал что для входа можно указать левый компьютер. А вот на шарах указаны либо конкретные пользователи, либо "Прошедшие проверку".

"Прошедшие проверку" »
Это не очень хорошо, потому как гости тоже являются прошедшими проверку, после их авторизации в системе.

paranoya, это у нас общедоступные папки на машинах, типа для всех местных для быстрого обмена не секретными данными. Может в них указывать "Пользователи домена" вместо прошедших проверку?

две минуты на редактиование DDP, но нет.. мы лёгких путей не ищем.

В свойствах учетной записи на вкладке "Учетная запись" нажми кнопку "Вход на". Там можно ввести вымышленное имя компьютера, на которое разрешено входить данной учетке. Соответственно, ни на один ПК он не сможет залогиниться.

cameron, я понял, не получится так дак придется создавать для них отдельную политику.
dahiko, это уже обсудили выше, речь была про шары.